Node.js 신뢰도 하락: Windows에서 위험한 ... 노트

Node.js 신뢰도 하락: Windows에서 위험한 모듈 해상도

이 블로그는 Node.js 애플리케이션이 Windows에서 모듈 해석 동작으로 인해 발생하는 로컬 권한 상승 취약점에 대해 자세히 설명합니다. Node.js는 기본적으로 C:\node_modules에서 모듈을 검색하며, 이를 통해 공격자가 해당 디렉토리를 생성할 수 있습니다. 여기에 악성 모듈을 배치하면 애플리케이션을 실행하는 사용자의 컨텍스트 내에서 실행될 수 있습니다. 이 문제는 Node.js가 "파일 시스템을 신뢰한다"는 입장을 취하며 이를 의도적인 동작으로 간주하는 것에서 비롯됩니다. 이러한 무관심은 선택적 종속성을 위험한 공격 벡터로 변환합니다. npm CLI와 Discord가 취약한 것으로 시연되며, 누락된 선택적 종속성을 악용합니다. npm CLI 취약점인 CVE-2026-0775는 누락된 "bluebird" 패키지를 활용합니다. Discord는 CVE-2026-0776을 통해 누락된 "utf-8-validate" 종속성으로 인해 취약하며, 아직 패치되지 않았습니다. 이러한 취약점은 사용자 상호 작용 없이 애플리케이션을 시작할 때 트리거됩니다. Node.js, npm 및 Discord는 이를 유효한 보안 문제로 간주하지 않습니다. 이 블로그는 연구원들이 유사한 취약점에 대해 더 많은 애플리케이션을 조사하도록 장려합니다.
CdXz5zHNQW_YAmE6MusXD.jpeg